Oktatóanyag: Azure DDoS Protection-naplók megtekintése a Log Analytics-munkaterületen
Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:
- tekintse meg az Azure DDoS Protection diagnosztikai naplóit, beleértve az értesítéseket, a kockázatcsökkentési jelentéseket és a kockázatcsökkentési folyamat naplóit.
A DDoS Protection diagnosztikai naplói lehetővé teszik a DDoS Protection-értesítések, a kockázatcsökkentési jelentések és a kockázatcsökkentési folyamat naplóinak megtekintését egy DDoS-támadás után. Ezeket a naplókat a Log Analytics-munkaterületen tekintheti meg.
A támadáscsökkentési jelentések a Netflow protokoll adatait használják, amelyek összesítve részletes információkat nyújtanak az erőforrás elleni támadásról. Amikor egy nyilvános IP-erőforrás támadás alatt áll, a jelentés létrehozása a kockázatcsökkentés megkezdésekor azonnal elindul. 5 percenként növekményes jelentés jön létre, és egy kockázatcsökkentés utáni jelentés lesz a teljes kárenyhítési időszakra vonatkozóan. Ez annak biztosítása, hogy ha a DDoS-támadás hosszabb ideig folytatódik, 5 percenként megtekintheti a kockázatcsökkentési jelentés legfrissebb pillanatképét, és teljes összefoglalást kaphat a támadás elhárításának befejezését követően.
Előfeltételek
- Egy Azure-fiók, aktív előfizetéssel. Fiók ingyenes létrehozása.
- A DDoS Network Protectiont engedélyezni kell egy virtuális hálózaton, vagy a DDoS IP-védelmet nyilvános IP-címen kell engedélyezni.
- A DDoS Protection diagnosztikai naplóinak konfigurálása. További információ: Diagnosztikai naplók konfigurálása.
- Szimuláljon egy támadást az egyik szimulációs partnerünkkel. További információ: Tesztelés szimulációs partnerekkel.
Megtekintés a Log Analytics-munkaterületen
Jelentkezzen be az Azure Portalra.
A portál tetején található keresőmezőbe írja be a Log Analytics-munkaterületet. Válassza a Log Analytics-munkaterületet a keresési eredmények között.
A Log Analytics-munkaterületek panelen válassza ki a munkaterületet.
A bal oldali lapon válassza a Naplók lehetőséget. Itt láthatja a lekérdezéskezelőt. Lépjen ki a Lekérdezések panelről a Naplók lap használatához.
A Naplók lapon írja be a lekérdezést, majd nyomja le a Futtatás elemet az eredmények megtekintéséhez.
Azure DDoS Protection-naplók lekérdezése a Log Analytics-munkaterületen
A naplós sémákról további információt a diagnosztikai naplók megtekintése című témakörben talál.
DDoSProtectionNotifications naplók
A Log Analytics-munkaterületek panelen válassza ki a log analytics-munkaterületet.
A bal oldali panelen válassza a Naplók lehetőséget. Itt láthatja a lekérdezéskezelőt.
A Lekérdezéskezelőben írja be a következő Kusto-lekérdezést, és módosítsa az időtartományt egyénire, és módosítsa az időtartományt az utolsó három hónapra. Ezután nyomja le a Futtatás elemet.
AzureDiagnostics | where Category == "DDoSProtectionNotifications"A DDoSMitigationFlowLogs megtekintéséhez módosítsa a lekérdezést a következőre, tartsa meg ugyanazt az időtartományt, és nyomja le a Futtatás elemet.
AzureDiagnostics | where Category == "DDoSMitigationFlowLogs"A DDoSMitigationReports megtekintéséhez módosítsa a lekérdezést a következőre, tartsa meg ugyanazt az időtartományt, és nyomja le a Futtatás elemet.
AzureDiagnostics | where Category == "DDoSMitigationReports"
Példák naplólekérdezésekre
DDoS Protection-értesítések
Az értesítések értesítést küldenek, ha egy nyilvános IP-erőforrás támadás alatt áll, és ha a támadás elhárítása véget ért.
AzureDiagnostics
| where Category == "DDoSProtectionNotifications"
Az alábbi táblázat a mezőneveket és a leírásokat sorolja fel:
| Mező neve | Leírás |
|---|---|
| TimeGenerated | Az értesítés létrehozásának dátuma és időpontja (UTC). |
| ResourceId | A nyilvános IP-cím erőforrás-azonosítója. |
| Kategória | Értesítések esetén ez lesz a következő DDoSProtectionNotifications: . |
| ResourceGroup | A nyilvános IP-címet és a virtuális hálózatot tartalmazó erőforráscsoport. |
| SubscriptionId | A DDoS védelmi csomag előfizetés-azonosítója. |
| Erőforrás | A nyilvános IP-cím neve. |
| ResourceType | Ez mindig így lesz PUBLICIPADDRESS. |
| OperationName | Értesítések esetén ez a következő DDoSProtectionNotifications: . |
| Üzenet | A támadás részletei. |
| Típus | Az értesítés típusa. A lehetséges értékek közé tartoznak a következők MitigationStarted: .
MitigationStopped. |
| PublicIpAddress | Az Ön nyilvános IP-címe. |
DDoS-kockázatcsökkentési folyamatnaplók
A támadáscsökkentési folyamatnaplók lehetővé teszik az eldobott forgalom, a továbbított forgalom és más érdekes adatpontok közel valós idejű áttekintését egy aktív DDoS-támadás során. Az adatok folyamatos adatfolyamát betöltheti a Microsoft Sentinelbe vagy a külső SIEM-rendszerekbe eseményközponton keresztül a közel valós idejű monitorozáshoz, a lehetséges műveletek végrehajtásához és a védelmi műveletek szükségességének kezeléséhez.
AzureDiagnostics
| where Category == "DDoSMitigationFlowLogs"
Az alábbi táblázat a mezőneveket és a leírásokat sorolja fel:
| Mező neve | Leírás |
|---|---|
| TimeGenerated | A folyamatnapló létrehozásának dátuma és időpontja (UTC). |
| ResourceId | A nyilvános IP-cím erőforrás-azonosítója. |
| Kategória | A folyamatnaplók esetében ez a következő DDoSMitigationFlowLogs: . |
| ResourceGroup | A nyilvános IP-címet és a virtuális hálózatot tartalmazó erőforráscsoport. |
| SubscriptionId | A DDoS védelmi csomag előfizetés-azonosítója. |
| Erőforrás | A nyilvános IP-cím neve. |
| ResourceType | Ez mindig így lesz PUBLICIPADDRESS. |
| OperationName | A folyamatnaplók esetében ez a következő DDoSMitigationFlowLogs: . |
| Üzenet | A támadás részletei. |
| SourcePublicIpAddress | A nyilvános IP-cím felé forgalmat generáló ügyfél nyilvános IP-címe. |
| SourcePort | Portszám 0 és 65535 között. |
| DestPublicIpAddress | Az Ön nyilvános IP-címe. |
| DestPort | Portszám 0 és 65535 között. |
| Protokoll | A protokoll típusa. Lehetséges értékek: tcp, udpother. |
DDoS-kockázatcsökkentési jelentések
AzureDiagnostics
| where Category == "DDoSMitigationReports"
Az alábbi táblázat a mezőneveket és a leírásokat sorolja fel:
| Mező neve | Leírás |
|---|---|
| TimeGenerated | Az értesítés létrehozásának dátuma és időpontja (UTC). |
| ResourceId | A nyilvános IP-cím erőforrás-azonosítója. |
| Kategória | A kockázatcsökkentési jelentések esetében ez a következő DDoSMitigationReports: . |
| ResourceGroup | A nyilvános IP-címet és a virtuális hálózatot tartalmazó erőforráscsoport. |
| SubscriptionId | A DDoS védelmi csomag előfizetés-azonosítója. |
| Erőforrás | A nyilvános IP-cím neve. |
| ResourceType | Ez mindig így lesz PUBLICIPADDRESS. |
| OperationName | A kockázatcsökkentési jelentések esetében ez a következő DDoSMitigationReports: . |
| ReportType | A lehetséges értékek a következők: Incremental és PostMitigation. |
| MitigationPeriodStart | A kockázatcsökkentés megkezdésének dátuma és időpontja (UTC). |
| MitigationPeriodEnd | A kockázatcsökkentés befejezésének dátuma és időpontja (UTC). |
| IPAddress | Az Ön nyilvános IP-címe. |
| AttackVectors | A támadástípusok romlása. A kulcsok közé tartoznak TCP SYN flooda következők: , TCP flood, UDP flood, UDP reflectionés Other packet flood. |
| TrafficOverview | A támadási forgalom romlása. A kulcsok közé tartoznak Total packetsa következők: , Total packets dropped, Total TCP packets droppedTotal TCP packets, Total UDP packets, Total UDP packets dropped, Total Other packetsés Total Other packets dropped. |
| Protokollok | A mellékelt protokollok lebontása. A kulcsok közé tartozik TCPaz , UDPés Othera . |
| DropReasons | Az elvetett csomagok okainak elemzése. A kulcsok közé tartoznak a következők Protocol violation invalid TCP: .
syn Protocol violation invalid TCP, Protocol violation invalid UDP, UDP reflection, TCP rate limit exceeded, UDP rate limit exceededDestination limit exceeded, Other packet flood Rate limit exceededés Packet was forwarded to service. A protokoll megsértésének érvénytelen elvetési okai hibásan formázott csomagokra hivatkoznak. |
| TopSourceCountries | Az első 10 forrásország/régió lebontása bejövő forgalomra. |
| TopSourceCountriesForDroppedPackets | A 10 legnagyobb forrásország/régió elemzése a szabályozott támadási forgalomhoz. |
| TopSourceASNs | A bejövő forgalom autonóm rendszerszámainak (ASN-jei) top 10 forrásának elemzése. |
| SourceContinents | A bejövő forgalom forrás kontinensének elemzése. |
| Típus | Az értesítés típusa. A lehetséges értékek közé tartoznak a következők MitigationStarted: .
MitigationStopped. |
Következő lépések
Ebben az oktatóanyagban megtanulta, hogyan tekintheti meg a DDoS Protection diagnosztikai naplóit egy Log Analytics-munkaterületen. Ha többet szeretne megtudni a DDoS-támadás esetén javasolt lépésekről, tekintse meg ezeket a következő lépéseket.